Programul malware WailingCrab

Cercetătorii Infosec avertizează că e-mailurile cu o temă de livrare și expediere sunt folosite ca mijloc de a distribui un încărcător de malware sofisticat numit WailingCrab. Acest malware cuprinde mai multe componente, inclusiv un încărcător, un injector, un descărcator și o ușă în spate. Comunicarea de succes cu serverele Command-and-Control (C2, C&C) este adesea necesară pentru a prelua etapa ulterioară a malware-ului.

Actorii amenințărilor dezvoltă activ programul malware WailingCrab

Cercetătorii au identificat inițial WailingCrab în august 2023, după ce au descoperit implicarea sa în campanii de atac împotriva organizațiilor italiene. Acest malware a servit drept canal pentru implementarea troianului Ursnif (cunoscut și sub numele de Gozi). Mintea din spatele WailingCrab este actorul de amenințare TA544, recunoscut și ca Bamboo Spider și Zeus Panda.

Întreținut continuu de operatorii săi, malware-ul prezintă caracteristici concepute pentru ascuns, permițându-i să împiedice mai bine eforturile de analiză. Pentru a-și spori natura ascunsă, malware-ul inițiază comunicații C2 prin site-uri web legitime, dar compromise.

În plus, componentele malware-ului sunt stocate pe platforme utilizate pe scară largă precum Discord. În special, o modificare semnificativă a comportamentului malware-ului de la jumătatea anului 2023 implică adoptarea MQTT, un protocol de mesagerie ușor destinat senzorilor mici și dispozitivelor mobile, pentru comunicarea C2. Acest protocol este relativ neobișnuit în peisajul amenințărilor, cu doar câteva cazuri de utilizare, așa cum sa observat anterior în cazuri precum Tizi și MQsTTang.

Lanțul de atac pentru livrarea programului malware WailingCrab

Secvența de atac începe cu e-mailuri care conțin atașamente PDF care adăpostesc adrese URL. Făcând clic pe aceste adrese URL declanșează descărcarea unui fișier JavaScript conceput pentru a prelua și executa încărcătorul WailingCrab găzduit pe Discord.

Rolul încărctorului este de a iniția etapa ulterioară, lansând un shellcode care servește ca modul injector. Acest lucru, la rândul său, declanșează execuția unui descărcator responsabil pentru implementarea ușii din spate finală. În iterațiile anterioare, această componentă descărca direct ușa din spate, găzduită ca atașament pe CDN-ul Discord.

Cea mai recentă versiune de WailingCrab criptează componenta backdoor cu AES. În loc să descarce ușa din spate, se adresează serverului său C2 pentru a obține o cheie de decriptare pentru decriptarea ușii din spate. Ușa din spate, acționând ca nucleu al malware-ului, stabilește persistența pe gazda infectată și comunică cu serverul C2 prin protocolul MQTT pentru a primi încărcături suplimentare.

Mai mult, cele mai recente variante ale backdoor abandonează calea de descărcare bazată pe Discord în favoarea unei încărcături utile bazate pe shellcode direct de la C2 prin MQTT. Această trecere la utilizarea protocolului MQTT de către WailingCrab înseamnă o concentrare deliberată pe îmbunătățirea stării și evitarea detectării. Versiunile mai noi de WailingCrab elimină, de asemenea, dependența de Discord pentru recuperarea încărcăturii utile, sporind și mai mult capacitățile sale de ascuns.